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1 . The designated Office is hereby notified of its election made: 

|"x) in the demand filed with the International Preliminary Examining Authority 

13 September 1999(13.09.99) 



[""] jn a notice effecting later election filed with the International Bureau 
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was not 



ma de before the expiration of 19 months from the priority date or. where Ru.e 32 app.ies. within the time .imit under 
Rule 32.2(b). 
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The International Bureau of W1P0 
34, chemin des Colombottes 
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VERTRAG 



I3ER DIE INTERNATIONALE ZU3 
r DEM GEBIET DES PATENT 



MENARBEIT 
NS 



PCT 



INTERN ATIONALER RECHERCHENBERICHT 

(Artikel 18 sowie Regeln 43 unci 44 PCT) 



Aktenzeichen des Anmelders Oder Anwalts 
GR 98 P 3222 P 


WEITERES siehe Mitteilung uber die Ubermittlung des internationalen 

Recherchenberichts (Formblatt PCT/ISA/220) sowie, soweit 
VORGEHEN zutreffend, nachstehender Punkt 5 


Internationales Aktenzeichen 

PCT/DE 99/00744 


Internationales Anmeldedatum 

(Tag/Monat/Jahr) 

17/03/1999 


(Fruhestes) Prioritatsdatum (Tag/Monat/Jahr) 

30/03/1998 



Anmelder 



SIEMENS AKTIENGESELLSCHAFT et al . 



Dieser internationale Recherchenbericht wurde von der Internationalen Recherchenbehorde erstellt und wird dem Anmelder gemaB 
Artikel 18 ubermittelt. Eine Kopie wird dem Internationalen Buro Cibermittelt. 

Dieser internationale Recherchenbericht umfaBt insgesamt _3 Blatter. 

| X | Daruber hinaus liegt ihm jeweils eine Kopie der in diesem Bericht genannten Unterlagen zum Stand der Technik bei. 

1 . Grundlage des Berichts 

a. Hinsichtlich der Sprache ist die internationale Recherche auf der Grundlage der internationalen Anmeldung in der Sprache 
durchgefuhrt worden. in der sie eingereicht wurde. sofern unter diesem Punkt nichts anderes angegeben ist. 

| | Die internationale Recherche ist auf der Grundlage einer bei der Behorde eingereichten Ubersetzung der internationalen 
Anmeldung (Regel 23.1 b)) durchgefuhrt worden. 

b. Hinsichtlich der in der internationalen Anmeldung offenbarten Nucleotid- und/oder Aminosauresequenz ist die internationale 
Recherche auf der Grundlage des Sequenzprotokolls durchgefuhrt worden. das 

| | in der internationalen Anmeldung in Schriflicher Form enthalten ist. 

| | zusammen mit der internationalen Anmeldung in computerlesbarer Form eingereicht worden ist. 

| | bei der Behorde nachtraglich in schriftlicher Form eingereicht worden ist. 

| | bei der Behorde nachtraglich in computerlesbarer Form eingereicht worden ist. 

| ~| Die Erklarung. daB das nachtraglich eingereichte schriftliche Sequenzprotokoll nicht uber den Offenbarungsgehalt der 
internationalen Anmeldung im Anmeldezeitpunkt htnausgeht, wurde vorgelegt. 

| | Die Erklarung. daB die in computerlesbarer Form erfaBten Informationen dem schriftlichen Sequenzprotokoll entsprechen. 
wurde vorgelegt. 



2. [^] Bestimmte Anspruche haben sich als nicht recherchierbar erwiesen (siehe Feld I). 

3. Mangelnde Einheitlichkeit der Erfindung (siehe Feld II). 

4. Hinsichtlich der Bezeichnung der Erfindung 

| | wird der vom Anmelder eingereichte Wortlaut genehmigt. 
|~X~| wurde der Wortlaut von der Behorde wie folgt festgesetzt: 

FEHLERSICHERES DATENUBERTRAGUNGSSYSTEM UND - VERFAHREN 



Hinsichtlich der Zusammenfassung 

p^~j wird der vom Anmelder eingereichte Wortlaut genehmigt. 

wurde der Wortlaut nach Regel 38.2b) in der in Feld ill angegebenen Fassung von der Behorde festgesetzt. Der 
| | Anmelder kann der Behorde innerhalb eines Monats nach dem Datum der Absendung dieses internationalen 

Recherchenberichts eine Stellungnahme vorlegen. 

Folgende Abbildung der Zeichnungen ist mit der Zusammenfassung zu veroffentlichen: Abb. Nr. 3 



pT| wie vom Anmelder vorgeschlagen keine der Abb. 

| | weil der Anmelder selbst keine Abbildung vorgeschlagen hat. 
| | weil diese Abbildung die Erfindung besser kennzeichnet. 
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(PCT Article 36 and Rule 70) 



RECEIVED 
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Technology Center 2100 



Applicant's or agent's file reference 
GR 98 P 3222 P 


_ _ it __ ij __ See Notification of Transmittal of International 
FOR FURTHER ACTION Preliminary Examination Report (Form PCT/IPE A/4 1 6) 


International application No. 


International filing date (day/month/year) 


Priority date (day/month/year) 


PCT/DE99/00744 


17 March 1999(17.03.99) 


30 March 1998 (30.03.98) 


International Patent Classification (IPC) or national classification and IPC 




G05B 19/042 






Applicant 

SIEMENS AKTIENGESELLSCHAFT 



This international preliminary examination report has been prepared by this International Preliminary Examining 
Authority and is transmitted to the applicant according to Article 36. 



2. This REPORT consists of a total of 



. sheets, including this cover sheet. 



This report is also accompanied by ANNEXES, i.e., sheets of the description, claims and/or drawings which have 
been amended and are the basis for this report and/or sheets containing rectifications made before this Authority 
(see Rule 70.16 and Section 607 of the Administrative Instructions under the PCT). 



These annexes consist of a total of _ 



sheets. 



This report contains indications relating to the following items: 
Basis of the report 
Priority 

Non-establishment of opinion with regard to novelty, inventive step and industrial applicability 
Lack of unity of invention 

Reasoned statement under Article 35(2) with regard to novelty, inventive step or industrial applicability; 
citations and explanations supporting such statement 

Certain documents cited 

Certain defects in the international application 

Certain observations on the international application 



I 


I2SJ 


II 


□ 


III 


□ 


IV 


□ 


V 


IE1 


VI 


□ 


VII 


□ 


VIII 


□ 



Date of submission of the demand 

13 September 1999 (13.09.99) 


Date of completion of this report 

14 July 2000(14.07.2000) 


Name and mailing address of the IPEA/EP 
Facsimile No. 


Authorized officer 
Telephone No. 



Form PCT/IPEA/409 (cover sheet) (January 1994) 



INTERNATIONAL PRELIMINARY EXAMINATION REPORT 



International application No. 

PCT/DE99/00744 



I. Basis of the report 



1 . This report has been drawn on the basis of (Replacement sheets which have been furnished to the receiving Office in response to an invitation 
under Article J 4 are referred to in this report as "originally filed" and are not annexed to the report since they do not contain amendments.): 

| | the international application as originally filed. 

[^| the description, pages U 3 ~ 6 , as originally filed, 

pages , filed with the demand, 

pages 2,2a t filed with the letter of — 

pages , filed with the letter of _ 



20 January 2000 (20.01.2000) 



the claims, 



Nos. 
Nos. 
Nos. 
Nos. 
Nos. 



1-4 



, as originally filed, 

, as amended under Article 1 9, 

, filed with the demand, 

, filed with the letter of 

, filed with the letter of 



the drawings, sheets/fig 
sheets/fig 
sheets/fig 
sheets/fig 



1/3-3/3 



, as originally filed, 
, filed with the demand, 
, filed with the letter of 
, filed with the letter of 



2. The amendments have resulted in the cancellation of: 

I | the description, pages 

I I the claims, Nos. 



I | the drawings, sheets/fig 



^ I I This report has been established as if (some of) the amendments had not been made, since they have been considered 
' — ' to go beyond the disclosure as filed, as indicated in the Supplemental Box (Rule 70.2(c)). 



4. Additional observations, if necessary: 



Form PCT/IPE A/409 (Box I) (January 1994) 



INTERNATIONAL PRELIMINARY EXAMINATION REPORT 



international application No. 
PCT/DE 99/00744 



V. Reasoned statement under Article 35(2) with regard to novelty, inventive step or industrial applicability; 
citations ana* explanations supporting such statement 



1 . Statement 

Novelty (N) 

Inventive step (IS) 
Industrial applicability (IA) 



Claims 
Claims 

Claims 
Claims 

Claims 
Claims 



1-4 



1-4 



1-4 



YES 
NO 
YES 
NO 

YES 
NO 



2. Citations and explanations 



1. DE 43 12 305 discloses a data transmission process 
between a fail-safe programmable control system and 
a number of input/output units by way of a bus 
control unit - connected to the safe processor - and 
a serial bus system. In this connection, the bus 
control unit transfers messages to the input/output 
units. At least one of the input/output units is in 
the form of a safety unit. The messages transferred 
are redundant and checked for identity. Unlike the 
invention, this document does not disclose the fact 
that transfer is in cycles or that multi-bit 
messages have at least one control bit. More 
particularly, it does not disclose that the safety 
unit interprets the transferred multi-bit message as 
being correct only if the control bit alternates 
within a predetermined monitoring time. 

2. The interference document, EP 837 394 does not 
disclose either that transfer is in cycles and the 
safety unit interprets the multi-bit message as 
being correct only if the control bit alternates 
within a predetermined monitoring time. 

However, this feature, which is not in any of the 



Form PCT/IPEA/409 (Box V) (January 1994) 



INTERNATIONAL PRELIMINARY EXAMINATION REPORT 



Ntemational application No. 
PCT/DE 99/00744 



search report citations is essential to the 
invention. This is because as a result of this 
feature not only is an unsafe state avoided if no 
messages at all are transferred, for example, should 
the bus control unit fail, but even when faulty 
messages are transferred. 

Novelty and inventive step of the invention are 
therefore established . 



Form PCT/IPEA/409 (Box V) (January 1994) 




GR 98 P 3222 



- 2 - 



10 



15 



20 



25 



runs counter to the general tendency to minimize 
cabling outlay. 

The object of the present invention is therefore to 
provide a data transmission method by means of which 
security-related signals can be transmitted via a non- 
error-protected bus system. 

The object is achieved in a data transmission method of 
the aforementioned type in that at least one of the 
input/output units is designed as a security unit, the 
multi-bit message transferred to the security unit has 
a checkbit, and the security unit, interprets the 
transferred multi-bit message as correct only if the 
checkbit alternates within a predefined monitoring 
period. 

An insecure condition is thus avoided not only if no 
further multi-bit messages are transferred, e.g. in the 
event of failure of the bus control unit, but also if 
errored multi-bit messages are transferred. 

If the security unit is designed as an output unit for 
activating an output, it may, for example, have a timer 
which, at the end of the monitoring period, switches 
the output to a secure condition, in which the timer is 
reset with each transfer of a correct multi-bit 
message . 

The data transmission method is even more secure if the 
security unit can be activated under two different 
addresses, a multi-bit message is in each case 
transferred to the security unit under both addresses 
and the security unit interprets the transferred multi- 




VERTRAG UBER A INTERNATIONALE ZUSAr^NABBE IT AUF D EM 

GEBIET DES PATENTWESENS. ..... . r . . . 1 

PCX . . . : :- : ~~r-:- -. ' 



INTERNATIONALER VORLAUFIGER PRUFUNGSBERICHT 

(Artikel 36 und Regel 70 PCT) 



Aktenzeichen des Anmelders oder Anwatts 
GR 98 P 3222 P 


siehe Mitteiiung uber die Ubersendung des internationalen 
WEITERES VORGEHEN vorlaufigen Prufungsbericht (Formblatt PCT/IPEA/416) 


Internationales Aktenzeichen 
PCT/DE99/00744 


I nternationales Anmeldedatum (Tag/Monat/Jahr) 
17/03/1999 


Prioritatsdatum (Tag/Monat/Tag) 
30/03/1998 


Internationale Patentklassification (IPK) oder nationale Klassifikation und IPK 
G05B1 9/042 


Anmelder 

SIEMENS AKTI ENG ES ELLSC H AFT et al. 



1 . Dieser Internationale vorlaufige Prufungsbericht wurde von der mit der internationale vorlaufigen Prufung beauftragte 
Behorde erstetlt und wird dem Anmelder gemaG Artikel 36 ubermittelt. 



2. Dieser BERICHT umfaGt insgesamt 4 Blatter einschlieBlich dieses Deckblatts. 

S AuBerdem liegen dem Bericht ANLAGEN bei; dabei handelt es sich um Blatter mit Beschreibungen, Anspriichen 
und/oder Zeichnungen, die geandert wurden und diesem Bericht zugrunde liegen, und/oder Blatter mit vor dieser 
Behorde vorgenommenen Berichtigungen (siehe Regel 70.16 und Abschnitt 607 der Verwaltungsrichtlinien zum PCT). 

Diese Anlagen umfassen insgesamt 2 Blatter. 



3. Dieser Bericht enthalt Angaben zu folgenden Punkten: 

I S Grundlage des Berichts 

II □ Prioritat 

Ml □ Keine Erstellung eines Gutachtens uber Neuheit, erfinderische Tatigkeit und gewerbliche Anwendbarkeit 

IV □ Mangelnde Einheitlichkeit der Erfindung 

V S Begrundete Feststellung nach Artikel 35(2) hinsichtlich der Neuheit, der erfinderische Tatigkeit und der 

gewerbliche Anwendbarkeit; Unterlagen und Erklarungen zur Stutzung dieser Feststellung 

VI □ Bestimmte angefuhrte Unterlagen 

VII □ Bestimmte Mangel der internationalen Anmeldung 

VIII □ Bestimmte Bemerkungen zur internationalen Anmeldung 



Datum der Einreichung des Antrags 
13/09/1999 


Datum der Fertigstellung dieses Berichts 

1 h. 07. 00 


Name und Postanschrift der mit der internationalen vorlaufigen 
Prufung beauftragten Behorde: 

Europaisches Patentamt - P.B. 5818 Patentlaan 2 

NL-2280 HV Rijswijk - Pays Bas 

Tel. +31 70 340 - 2040 Tx: 31 651 epo nl 

Fax: +31 70 340 - 3016 


Bevollmachtigter Bediensteter ^ss^v 

/Jr V\ 

Tran-Tien t T (1 ^ )) 

Tel. Nr. +31 70 340 2287 ^S^^ 



Formblatt PCT/l PEA/409 (Deckblatt) (Januar 1994) 



INTERNATIONALER VORLAUFIGER 
PRUFUNGSBERICHT 



Internationales Aktenzeichen PCT/DE99/00744 



I. Grundlage des Berichts 

1 . Dieser Bericht wurde erstellt auf der Grundlage (Ersatzbfatter, die dem Anmeldeamt auf eine Aufforderung nach 
Artikel 14 hin vorgelegt wurden, geften im Rahmen dieses Berichts a/s "ursprunglich eingereicht" und sind ihm 
nicht beigefugt, weil sie keine Anderungen enthalten.): 

Beschreibung, Seiten: 

1,3-6 ursprungliche Fassung 

2,2a eingegangen am 22/01/2000 mit Schreiben vom 20/01/2000 

Patentanspruche, Nr.: 

1 -4 u rsprungliche Fassung 

Zeichnungen, Blatter: 

1/3-3/3 ursprungliche Fassung 

2. Aufgrund der Anderungen sind folgende Unterlagen fortgefallen: 

□ Beschreibung, Seiten: 

□ Anspriiche, Nr.: 

□ Zeichnungen, Blatt: 

3. □ Dieser Bericht ist ohne Berucksichtigung (von einigen) der Anderungen erstellt worden, da diese aus den 

angegebenen Grunden nach Auffassung der Behorde uberden Offenbarungsgehatt in der ursprunglich 
eingereichten Fassung hinausgehen (Regel 70.2(c)): 

4. Etwaige zusatzliche Bemerkungen: 



Formblatt PCT/IPEA/409 (Felder I- VIII, Blatt 1) (Januar 1994) 



INTERNATIONALER VORLAUFIGER 
PRUFUNGSBERICHT 



Internationales Aktenzeichen PCT/DE99/00744 



V. Begrundete Feststellung nach Artiket 35(2) hinsichtlich der Neuheit, der erfinderischen Tatigkeit und der 
gewerblichen Anwendbarkert; Unterlagen und Erklarungen zur Stutzung dieser Feststellung 

1. Feststellung 

Neuheit (N) Ja: Anspruche 1-4 

Nein: Anspruche 

Erf inderische Tatigkeit (ET) Ja: Anspruche 1 -4 

Nein: Anspruche 

Gewerbliche Anwendbarkeit (GA) Ja: Anspruche 1-4 

Nein: Anspruche 



2. Unterlagen und Erklarungen 
siehe Beiblatt 



Formblatt PCT/IPEA7409 (Felder I- VIII. Blatt2) (Januar 1994) 



INTERNATIONALER VORLAUFIGER Internationales Aktenzeichen PCT/DE99/00744 
PRUFUNGSBERICHT - BEIBLATT 



Zu Punkt V 

Begrundete Feststellung nach Art ike I 35(2) hinsichtlich der Neuheit, der 
erfinderischen Tatigkeit und der gewerbiichen Anwendbarkeit; Unterlagen und 
Erklarungen zur Stutzung dieser Feststellung 

1. Dokument DE 43 12 305 offenbart ein Datenubertragungsverfahren zwischen einer 
fehlersicheren speicherprogrammierbaren Steuerung und einer Anzahl von Ein- 
/Ausgabeeinheiten uber eine an die angeschlossene Bussteuereinheit und ein serielles 
Bussystem. Dabei ubermittelt die Bussteuereinheit an die E/A-Einheiten Nachrichten. 
Mindestens einer der E/A-Einheiten ist als Sicherheitseinheit ausgebildet. Die 
ubermittelte Nachrichten sind redundant und auf Identitat uberpruft. Dabei ist in 
Gegensatz zur Erfindung weder offenbart, daB die Ubervermittlung zyklisch erfolgt 
noch daB Mehrbitnachrichten mindestens ein Kontrollbit aufweisen. Vor allem wird nicht 
offenbart, daB die Sicherheitseinheit die ubermittelte Mehrbitnachricht nur dann als 
ordnungsgemaB interpretiert, wenn daB Kontrollbit innerhalb einer vorbestimmten 
Uberwachungszeit alterniert. 

2. Auch wird im Interferenz-Dokument EP 837 394 nicht offenbart, daB die Ubermittlung 
zyklisch erfolgt sowie daB die Sicherheitseinheit die Mehrbitnachricht nur dann als 
ordnungsgemaB interpretiert, wenn das Kontrollbit innerhalb einer vorbestimmten 
Uberwachungszeit alterniert. 

Dieses Merkmal, das in keinem der Entgegenhaltungen des Recherchenberichts zu 
finden ist, ist jedoch erfindungswesentlich. Denn dadurch wird erreicht, daB ein 
unsicherer Zustand nicht nur dann vermieden, wenn uberhaupt keine Nachrichten mehr 
ubertragen werden, z.B. bei einem Ausfall der Bussteuereinheit, sondern auch dann 
wenn fehlerhafte Nachrichten ubertragen werden. 

Die Neuheit und erfinderische Tatigkeit der Erfindung ist somit gegeben. 



Formblatt PCT/Beiblatt/409 (Blatt 1) (EPA- April 1997) 



01-2000* 98 p 3222 p 
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EP9991 6797.6 



aber der a 1 Igemeinen -Tendenz,zur. Minimi erung des Verkabe-. 
lungsauf wands entgegen . 

Aus der DE 43 12 305 Al ist ein Datenubertragungsverf ahren 
5 zwischen einer f ehlersicheren speicherprogrammierbaren Steue- 
rung und einer Anzahl von Ein-/Ausgabeeinheiten uber eine an 
die speicherprogrammierbare Steuerung angeschlossene Bussteu- 
ereinheit und ein serielles Bussystem bekannt, wobei die 
Biissteuereinheit an die an das Bussystem angeschlossenen Ein- 

10 /Ausgabeeinheiten Nachrichten ubermittelt. Bei diesem Daten- 
ubertragungsverf ahren ist mindestens eine der Ein- /Ausgabe- 
einheiten als Sicherheitseinheit ausgebildet. An die Sicher- 
heitseinheit ubermittelte Nachrichten werden redundant uber- 
mittelt und auf Identitat uberpruft. Die ubermittelten Nach- 

15 richt werden nur bei Identitat als ordnungsgemaS interpre- 



Die Aufgabe der vorliegenden Erfindung besteht darin, ein 
wei teres Datenubertragungsverf ahren zur Verfiigung zu stellen, 
20 mittels dessen es mdglich ist, iiber ein nicht f ehlersicheres 
Bussystem sicherheitsrelevante Signale zu ubertragen. 

Die Aufgabe wird bei einem Datenubertragungsverf ahren der 
eingangs genannten Art dadurch geldst, dafi mindestens eine 

25 der Ein- /Ausgabeeinheiten als Sicherheitseinheit ausgebildet 
ist, daS die an die Sicherheitseinheit ubermittelte Mehrbit- 
nachricht mindestens ein Kontrollbit aufweist und dafi die Si- 
cherheitseinheit die ubermittelte Mehrbitnachricht nur dann 
als ordnungsgemaS interpret iert, wenn das Kontrollbit inner- 

30 halb einer vorbestimmten Uberwachungszeit alterniert. 

Denn hierdurch wird - auch bei nichtredundanter Dateniibertra- 
gung - ein unsicherer Zustand nicht nur dann vermieden, wenn 
uberhaupt keine Mehrbitnachrichten mehr Ubertragen werden, 
3 5 z.B. bei einem Ausfall der Bussteuereinheit . Ein unsicherer 



tiert . 
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Zustand wird auch dann vermieden, wenn fehlerhafte Mehrbit- 
nachrichten vibertragen werden. 

Wenn die Sicherheitseinheit als Ausgabeeinheit zum Ansteuern 
5 eines Ausgangs ausgebildet ist, kann sie z.B. ein Zeitglied 
aufweisen, das bei Ablaiuf der Uberwachungszeit den Ausgang in 
einen sicheren Zustand uberfuhrt, wobei das Zeitglied bei je- 
dem Ubermitteln einer ordnungsgemaSen Mehrbitnachricht zu- 
ruckgesetzt wird. 

10 

Das Datenubertragungsverfahren ist noch sicherer, wenn die 
Sicherheitseinheit unter zwei verschiedenen Adressen an- 
sprechbar ist, der Sicherheitseinheit unter den beiden Adres- 
sen jeweils eine Mehrbitnachricht ubermittelt wird und die 
15 Sicherheitseinheit die tibermittelten Mehrbitnachricht en nur 
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(11) Internationale Veroffentlichungsnummer: WO 99/50723 

7. Oktober 1999 (07.10.99) 



(43) Internationales 

Veroffentlichungsdatum: 



(21) Internationales Aktenzeichen: PCT/DE99/00744 

(22) Internationales Anmetdedatum: 17. Marz 1999 (17.03.99) 



(30) Prioritatsdaten: 

198 14 102.5 



30. Marz 1998 (30,03.98) 



DE 



(71) Anmelder (fur alle Bestimmungsstaaten ausser US): SIEMENS 

AKTIENGESELLSCHAFT [DE/DE]; Wittclsbacherplatz 2, 
D-80333 Munchen (DE). 

(72) Erfinder; und 

(75) Erfinder/AnmeIder(/wr./K>£/S): INDEFREY, Klaus [DE/DE]; 
Theodorstrasse 5, D-90489 Nurnberg (DE). KRAMER, 
Werner [DE/DE]; Stroberstrasse 7,D-92421 Schwandorf 
(DE). WIESGICKL, Bemhard [DE/DE]; An der Vils 20, 
D-92249 Vilseck (DE). 

(74) Gemeinsamer Vertreter: SIEMENS AKTIENGE- 
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(54) Title: ERROR PROTECTED DATA TRANSFER SYSTEM AND METHOD 

(54) Bezeichnung: FEHLERSICHERES DATENOBERTRAGUNGSSYSTEM UND -VERFAHREN 

(57) Abstract 

The invention relates to a method for 
transferring data between a secure com- 
puter (1), e.g. an error protected stored 
program control (1), and a number of in- 
put/output units (2-4) via a bus control unit 
(6) connected to a secure computer (1) and 
a serial bus system (5). The bus control unit 
(6) responds in a cyclical manner to the in- 
put/output units (2-4) that are connected to 
the bus system (5) and transmits a multi-bit 
message (8) to the respective input/output 
unit (e.g. 4) that is addressed. In order to 
create a data transfer method that enables 
security-relevant signals to be transmitted 
via a bus system (5) which is not error pro- 
tected, the invention provides that at least 
one of the input/output units (4) is designed 
as a security unit (4), the multi-bit message 
(8) transmitted to the security unit (4) con- 
tains at least one control bit and the security unit (4) interprets the multi-bit message (8) as being correct only if the control bit alternates 
within a given monitoring period. 




(57) Zusammenfassung 



Die vorliegende Erfindung betrifft ein DatcnObeitragungsverfahren zwischen einer sicheren Rcchcnemheit (1), z.B. einer fehlersicheren 
speicherprogrammierbaren Steuerung (1), und einer Anzahl von Ein-/Ausgabeeinheiten (2 bis 4) tiber eine an die sichere Recheneinheit 
(1) angeschlossene Bussteuereinheit (6) und ein serielles Bussystem (5), wobei die Bussteuereinheit (6) zyklisch die an das Bussystem (5) 
angeschlossenen EuWAusgabeeinheiten (2 bis 4) anspricht und eine Mehrbitnachricht (8) an die jeweils angesprochene EiiWAusgabbeinheit 
(z.B. 4) ubermittelL Um ein Datenubertragungsverfahren zu schaffen, mittels dessen es moglich ist, uber ein nicht fehlersicheres Bussystem 4 
(5) sicherheitsrelevante Signale zu ubertragen, wird erfindungsgemaB vorgeschlagen, da6 mindestens eine der Ein-/Ausgabeeinheiten (4) 
als Sicherheitseinheit (4) ausgebildet ist, da8 die an die Sicherheitseinheit (4) ubermittelte Mehrbitnachricht (8) mindestens ein Kontrollbit 
aufweist und dafi die Sicherheitseinheit (4) die Qbermittelte Mehrbitnachricht (8) nur dann als ordmingsgemaB interpretiert, wenn das 
Kontrollbit innerhalb einer vorbestimmten Oberwachungszeit alterniert. 
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Beschreibung 

FEHLERS ICHERES DATENOBERTRAGUNGSSYSTEM UND -VERFAHREN 

5 Die vorliegende Erfindung betrifft ein Datenubef tragungsver- 
fahren zwischen einer sicheren Recheneinheit , z.B. einer feh- 
lersicheren speicherprogrammierbaren Steuerung, und einer An- 

^ zahl von Ein-/Ausgabeeinheiten uber eine an die sichere Re- 
cheneinheit angeschlossene Bussteuereinheit und ein serielles 

10 Bussystem, wobei die Bussteuereinheit zyklisch die an das 

Bussystem angeschlossenen Ein-/Ausgabeeinheiten anspricht und 
eine Mehrbitnachricht an die jeweils angesprochene Ein-/Aus- 
gabeeinheit iibermittelt. 

15 Ein derartiges Datenubertragungsverfahren ist z.B. unter der 
Bezeichnung AS-i (= Aktuator-Sensor-Interf ace) bekannt. 

Bei Anlagen und Maschinen der industriellen Automatisierungs- 
technik miissen gef ahrliche Zustande sicher erkannt und die 
20 gesteuerte Anlage bzw. Maschine in einem solchen Fall in ei- 
nen sicheren Zustand tiberfuhrt werden. Zur Ubertragung derart 
sicherheitsrelevanter Signale werden im Stand der Technik zu- 
meist eigene Erfassungs-, Verkabelungs- und Auswertesysteme 
eingesetzt ♦ 

25 

Das Verwenden eigener Erfassungs-, Verkabelungs- und Auswer- 
tesysteme erfordert insbesondere einen hohen Verdrahtungsauf- 
wand und birgt die Gefahr von Fehlverdrahtungen in sich. Es 
existieren daher Bestrebungen, auch sicherheitsrelevante Si- 
30 gnale uber ein Bussystem zu ubertragen. Die Sicherheit und 
Zuverlassigkeit der Dateniibertragung darf durch ein solches 
Bussystem aber nicht beeintrachtigt werden. 

Die sicherheitsrelevanten Signale konnten zwar uber ein sepa- 
35 rates, f ehlersicheres Bussystem ubertragen werden. Dies lauft 
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aber der allgemeinen Tendenz zur Minimierung des Verkabe- 
lungsauf wands entgegen . 

Die Aufgabe der vorliegenden Erfindung besteht somit darin, 
5 ein Datenubertragungsverf ahren zur Verfugung zu stellen, mit- 
tels dessen es moglich ist, uber ein nicht f ehlersicheres 
Bussystem sicherheitsrelevante Signale zu ubertragen. 

Die Aufgabe wird bei einem Datenubertragungsverf ahren der 
10 eingangs genannten Art dadurch gelost, da£ mindestens eine 

der Ein-/Ausgabeeinheiten als Sicherheitseinheit ausgebildet 
ist, daS die an die Sicherheitseinheit ubermittelte Mehrbit- 
nachricht mindestens ein Kontrollbit aufweist und daS die Si- 
cherheitseinheit die ubermittelte Mehrbitnachricht nur dann 
15 als ordnungsgemafi interpretiert t wenn das Kontrollbit inner- 
halb einer vorbestimmten Uberwachungszeit alterniert. 

Denn hierdurch wird ein unsicherer Zustand nicht nur dann 
vermieden, wenn iiberhaupt keine Mehrbitnachrichten mehr uber- 
20 tragen werden, z.B. bei einem Ausfall der Buss teuereinheit . 

Ein unsicherer Zustand wird auch dann vermieden, wenn fehler- 
hafte Mehrbitnachrichten uber tragen werden. 

Wenn die Sicherheitseinheit als Ausgabeeinheit zum Ansteuern 
25 eines Ausgangs ausgebildet ist, kann sie z.B. ein Zeitglied 

aufweisen, das bei Ablauf der Uberwachungszeit den Ausgang in 
einen sicheren Zustand uberfuhrt, wobei das Zeitglied bei je- 
dem Ubermitteln einer ordnungsgemaEen Mehrbitnachricht zu- 
ruckgesetzt wird. 

30 

Das Datenubertragungsverf ahren ist noch sicherer, wenn die 
Sicherheitseinheit unter zwei verschiedenen Adressen an- 
sprechbar ist, der Sicherheitseinheit unter den beiden Adres- 
sen jeweils eine Mehrbitnachricht ubermittelt wird und die 
3 5 Sicherheitseinheit die ubermittelten Mehrbitnachrichten nur 
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dann als ordnungsgemaS interpretiert , wenn die beiden Mehr- 
bitnachrichten miteinander korrespondieren . 



Die Mehrbitnachricht besteht vorzugsweise aus mindestens vier 
5 Nutzbit. 

Weitere Vorteile und Einzelheiten ergeben sich aus der nach- 
folgenden Beschreibung eines Ausfiihrungsbeispiels . Dabei zei- 
gen in Prinzipdarstellung 

10 

FIG 1 ein Datenubertragungssystem, 

FIG 2 einen Datentransf er und 

FIG 3 eine Sicherheitseinheit . 

15 GemaS FIG 1 besteht ein Datenubertragungssystem aus einer si- 
cheren Recheneinheit 1 und einer Anzahl von Ein-/Ausgabeein- 
heiten 2 bis 4. Die sichere Recheneinheit 1 ist im vorliegen- 
den Fall als fehlersichere speicherprogrammierbare Steuerung 
ausgebildet. Eine "derartige speicherprogrammierbare Steuerung 

20 wird z.B. von der Siemens AG unter der Bezeichnung SIMATIC 
S5-95F hergestellt und vertrieben. 

Die Ein-/Ausgabeeinheiten 2, 3 sind iibliche Ein-/Ausgabeein- 
heiten, mittels derer bis zu vier Binarsignale pro Einheit 

25 verarbeitbar sind. Die Ein-/Ausgabeeinheit 4 hingegen ist ei- 
ne Sicherheitseinheit. Sie kann genau eiin Binardatum verar- 
beiten. Prinzipiell konnte die Sicherheitseinheit 4 aber auch 
mehr Daten verarbeiten. Entscheidend ist, daS sie mindestens 
ein Datum weniger verarbeitet als Nutzbit an sie ubertragen 

30 werden. Denn dann kann dieses redundante Nutzbit zum Uberpru- 
fen des Dateniibertragungs systems verwendet werden. 

Die Ein-/Ausgabeeinheiten 2 bis 4 sind an ein serielles Bus- 
system 5 angeschlossen. An das Bussystem 5 ist ferner eine 
35 Bussteuereinheit 6 angeschlossen, die ihrerse'its wiederum an 
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die sichere Recheneinheit 1 angeschlossen ist. Zur Datenuber- 
tragung zwischen der sicheren Recheneinheit 1 und den Ein-/ 
Ausgabeeinheiten 2 bis 4 steuert die sichere Recheneinheit 1 
die Bussteuereinheit 6 an. Diese spricht nacheinander die 
5 Ein- /Ausgabeeinheiten 2 bis 4 an und ubermittelt eine aus 

mindestens vier Nutzbit bestehende Mehrbitnachricfit 8 an die 
jeweils angesprochene Ein-/Ausgabeeinheit 2 bis 4. 

Das Format eines Datentransf ers ist in FIG 2 dargestellt. Ge- 
10 maS FIG 2 sendet die Bussteuereinheit 6 nach einem Startbit 
7' und einem Steuerbit 7 U zunachst eine Adresse 7 iiber das 
Bussystem 5, urn eine der Ein- /Ausgabeeinheiten 2 bis 4 anzu- 
sprechen. Sodann sendet sie die Mehrbitnachricht 8, die aus 
fiinf Nutzbit besteht. Das erste Nutzbit ist ein Umschaltbit, 
15 das von der angesprochenen Ein-/Ausgabeeinheit 2 bis 4 intern 
verarbeitet wird. Das zweite bis funfte Nutzbit sind die ei- 
gentlichen Daten. An die Mehrbitnachricht 8 schliefien sich 
ein Prufbit 8' und ein Endebit 8 W an. 

2 0 Die angesprochene Ein-/Ausgabeeinheit 2 bis 4 sendet nach ei- 
nem Startbit 7' eine Antwort 9 zuriick, die aus vier Nutzbit 
besteht. An die Antwort 9 schliefien sich wieder ein Prufbit 
8' und ein Endebit 8" an. 

25 Die Adresse 7 wird von der Bussteuereinheit 6 nach jedem Da- 
tentransf er inkrementiert, bis alle Ein- /Ausgabeeinheiten 2 
bis 4 angesprochen sind. Dann wird wieder die Ein-/Ausgabe- 
einheit 2 bis 4 mit der niedrigsten Adresse angesprochen, und 
der Zyklus begirmt von neuem. 

30 

Gemafi FIG 3 ist die Sicherheitseinheit 4 im vorliegenden Fall 
als Ausgabeeinheit zum Ansteuern eines Ausgangs 10 ausgebil- 
det. Der Sicherheitseinheit , 4 wird also von der Bussteuerein- 
heit 6 ubermittelt, ob der Ausgang 10 angesteuert werden soil 
35 Oder nicht. Der Ausgang 10 darf dabei nur darfk angesteuert 
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werden, wenn ein sicherer Zustand einer gesteuerten Anlage 
bzw. einer gesteuerten Maschine vorliegt. Von der gesteuerten 
Anlage bzw. der gesteuerten Maschine darf also keine Gefahr- 
dung ausgehen. Ansonsten mu£ der Ausgang 10 sofort in den 
5 nicht angesteuerten Zustand iiberfiihrt werden. 

Zur Ermittlung des Ansteuersignals fur den Ausgang 10 wertet 
die Sicherheitseinheit 4 zunachst das zweite Nutzbit der 
ubermittelten Mehrbitnachricht 8 aus. Nur wenn das zweite 
10 Nutzbit den Wert Eins hat, wird der Ausgang 10 angesteuert. 
Ansonsten wird der Ausgang 10 in den sicheren, nicht ange- 
steuerten Zustand iiberfiihrt . 

Das dritte und das vierte Nutzbit sind fur die Sicherheits- 
15 einheit 4 im vorliegenden Fall ohne Belang. Mit ihnen konnten 
aber gegebenenf alls weitere Ausgange angesteuert werden. 

Das funfte Nutzbit der Mehrbitnachricht 8 ist ein Kontroll- 
bit. Es wird einem Zeitglied 13 zugefuhrt. Das Zeitglied 13 

20 wird jedesmal zuriickgesetzt , wenn das ihm zugefuhrte Kon- 

trollbit bezuglich des ihm zuvor zugefuhrten Kontrollbit al- 
terniert. Behalt das Kontrollbit hingegen seinen Wert bei, so 
lauft das Zeitglied 13 nach einer vorbestimmten Uberwachungs- 
zeit ab. In diesem Fall ubermittelt das Zeitglied 13 ein 

25 Null-Signal an ein UND-Glied 12, so daS der Ausgang 10 auch 
in diesem Fall in den nicht angesteuerten Zustand ubergeht. 
Auch in diesem Fall wird also ein unsicherer Zustand der ge- 
steuerten Anlage bzw. der gesteuerten Maschine vermieden. Die 
Uberwachungszeit ist dabei derart bestimmt, daS einerseits 

30 bei einem ordnungsgemaSen (zyklischen) Busverkehr stets ein 
rechtzeitiges Rucksetzen des Zeitgliedes 13 vor dessen Ablauf 
erfolgt und andererseits bei einem nicht ordnungsgemafien Bus- 
verkehr spatestens nach einer anlagen- bzw. maschinenspezif i- 
schen Reaktionszeit. der Ausgang 10 in den nicht angesteuerten 

35 Zustand iibergeht . ±\ 
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Wie ferner ersichtlich ist, ist die Sicherheitseinheit 4 re- 
dundant aufgebaut. Sie weist daher zwei Busbausteine 14 auf, 
so daS sie unter zwei verschiedenen Adressen ansprechbar ist. 
Jedem der Busbausteine 14 wird unter seiner eigenen Adresse 
5 jeweils eine eigene Mehrbitnachricht 8 ubermittelt . Jeder der 
Busbausteine 14 wertet die ihm ubermittelte Mehrbitnachricht 
8 autonom aus und steuert sein UND-Glied 12 entsprechend an. 

Die Ausgange 10 der beiden Busbausteine 14 sind in.Reihe ge- 
10 schaltet. Im Ergebnis werden die ubermittelten Mehrbitnach- 
richten 8 daher nur dann als ordnungsgemafi interpretiert , 
wenn sie miteinander korrespondieren. Die Sicherheit der Da- 
tenubertragung kann dabei noch weiter erhoht werden, wenn die 
Mehrbitnachrichten 8 den Busbausteinen 14 invers zueinander 
15 ubermittelt werden. 

Die Busbausteine 14 sind uber Schalter 15 gegenseitig verkop- 
pelt. Jeder der Busbausteine 14 kennt daher den Schaltzustand 
des jeweils anderen Busbausteins 14. Die Busbausteine 14 kon- 
20 nen folglich in ihren Antworten 9 nicht nur ihren eigenen 

Schaltzustand, sondern auch den Schaltzustand des jeweils an- 
deren Busbausteins 14 an die sichere Recheneinheit 1 zuruck- 
melden. Die Sicherheit des Da tenubertragungssys terns wird so- 
mit noch weiter erhoht. 

25 

Obenstehend wurde ein Da tenubertragungssys terns mit einer ein- 
zigen Sicherheitseinheit 4 beschrieben, die als Ausgabeein- 
heit zum Ansteuern eines Ausgangs 10 ausgebildet ist. Es kon- 
nen aber selbstvers tandlich mehrere Sicherheitseinheiten mit 
30 dem Bussystem 5 verbunden sein. Auch konnen die Sicherheit- 
seinheiten als sichere Eingabeeinheiten ausgebildet sein. 
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Patentanspriiche 

1. Datenubertragungsverfahren zwischen einer sicheren Rechen- 
einheit (1), z.B. einer f ehlersicheren speicherprogrammierba- 

5 ren Steuerung (1) , unci einer Anzahl von Ein-/Ausgabeeinheiten 
(2 bis 4) uber eine an die sichere Recheneinheit (1) ange- 
schlossene Bussteuereinheit (6) und ein serielles Bussystem 
(5), wobei die Bussteuereinheit (6) zyklisch die an das'Bus- 
system (5) angeschlossenen Ein-/Ausgabeeinheiten (2 bis 4) 
10 anspricht und eine Mehrbitnachricht (8) an die jeweils ange- 
sprochene Ein-/Ausgabeeinheit (z.B. 4) tibermittelt , 
dadurch . gekennzeichnet, 

dafi mindestens eine der Ein-/Ausgabeeinheiten (4) als 
Sicherheitseinheit (4> ausgebildet ist, 
15 - daS die an die Sicherheitseinheit (4) ubermittelte Mehr- 
bitnachricht (8) mindestens ein Kontrollbit aufweist und 

- dafi die Sicherheitseinheit (4) die ubermittelte Mehrbit- 
nachricht (8) nur dann als ordnungsgemaS interpret iert, 
wenn das Kontrollbit innerhalb einer vorbestimmten Uberwa- 

20 chungszeit alterniert. 

2. Datenubertragungsverfahren nach Anspruch 1, 
dadurch gekennzeichnet, 

- dafi die Sicherheitseinheit (4) als Ausgabeeinheit zum An- 
25 steuern eines Ausgangs (10) ausgebildet ist, 

- dafi sie ein Zeitglied (13) aufweist, das bei Ablauf der 
Uberwachungszeit den Ausgang (10) in einen sicheren Zu- 
stand iiberftihrt, und 

- daS das Zeitglied (13) bei jedem Ubermitteln einer ord- 
30 nungsgemaSen Mehrbitnachricht (8) zuriickgesetzt wird. 
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3 . Dateniibertragungsverf ahren nach Anspruch 1 oder 2 , 
dadurch gekennzeichnet, 

- da£ die Sicherheitseinheit (4) unter zwei verschiedenen 
Adressen ansprechbar ist, 

- daS der Sicherheitseinheit (4) unter den beiden Adressen 
jeweils eine Mehrbitnachricht (8) ubermittelt wird und 

- dafi die Sicherheitseinheit (4) die ubermittelten Mehrbit- 
nachrichten (8) nur dann als ordnungsgemaS interpret iert, 
wenn die beiden Mehrbitnachrichten (8) miteinander korre- 
spondieren . 

4. Dateniibertragungsverf ahren nach Anspruch 1, 2 oder 3, 
dadurch gekennzeichnet, daS die Mehr- 
bitnachricht (8) aus mindestens vier Nutzbit besteht. 
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ausgefuhrt) 

Verdffentlichung, die sich auf eine mundliche Offenbarung, 
eine Benutzung. eine Ausstellung oder andere Maflnahmen bezieht 

Verdffentlichung. die vor dem tntemationaten Anmetdedatum, aber nach 
dem beanspruchten Prioritatsdatum verdffentlicht worden ist " & ' 



T" Spatere Verdffentlichung, die nach dem internationalen Anmeldedatum 
oder dem Priontatsdatum verdffentlicht worden ist und mit der 
An me (dung nicht kollidieri. sondern nur zum Verstandnis des der 
Ertindung zugrundeliegenden Prtnzips Oder der ihr zugrundeliegenden 
Theorie angegeben ist 
"X" Verdffentlichung von besonderer Bedeutung: die beanspruchte Ertindung 
kann atlein aufgrund dieser Veroffentlichung nicht ate neu oder auf 
edinderischer Tatigkeit beruhend betrachtet werden 



Veroffentlichung von besonderer Bedeutung; die beanspruchte Ertindung 
kann nicht als auf erfinderischer Tatigkeit beruhend betrachtet 
werden, wenn die Veroffentlichung mit einer oder mehreren anderen 
Veroffentlichungen dieser Kategorie in Vertjindung gebracht wird und 
diese Verbindung fur einen Fachmartn naheltegend ist 



28. Jul i 1999 


Absendedatum des internationalen Recherchenberichts 

04/08/1999 


Name und Postanschnft der tntemationaten Recherchenbehdrde 
Europaisches Patentamt, P.B. 5818 Patentlaan2 
NL - 2280 HV Rijswijk 
Tel. (+31-70) 340-2040, Tx. 31 651 epo nl. 
Fax: (+31-70) 340-3016 


Bevottmachtigter Bediensteter 

.V- 

r * ! 

Tran-Tien, T 
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